' 트로이 목마' 란 무엇입니까?

트로이 목마란 무엇입니까?

트로이 목마 (이하 트로이 목마), 영어' Trojan house' 는 그리스 신화 트로이 목마에서 따온 이름이다.

원격 제어 기반 해커 도구로서 은폐성과 비허가성을 갖추고 있습니다.

은폐성이란 트로이 목마 디자이너가 트로이 목마가 발견되는 것을 막기 위해 여러 가지 방법으로 트로이 목마를 숨기는 것을 말한다. 그래서 서버는 트로이 목마에 감염된 것을 발견하더라도 정확한 위치를 확인할 수 없기 때문에' 말' 만 보고 탄식할 수 있다.

비허가성이란 제어측이 서버측에 연결되면 파일 수정, 레지스트리 수정, 마우스 제어, 키보드 등 서버측에서 부여한 것이 아니라 트로이 목마 프로그램을 통해 훔친 서버 운영 권한의 대부분을 누릴 수 있다는 의미입니다.

목마 발전을 보면 기본적으로 두 단계로 나눌 수 있다.

초기 네트워크는 유닉스 플랫폼 위주의 시기였다. 당시 트로이 목마 프로그램의 기능은 비교적 간단했다. 종종 시스템 파일에 프로그램을 내장하고 점프 지시로 일부 트로이 목마의 기능을 수행하는데, 이 시기에 트로이 목마의 디자이너와 사용자는 대부분 기술자였으므로 상당한 네트워크와 프로그래밍 지식을 갖추고 있어야 했다.

이후 WINDOWS 플랫폼이 보편화되면서 일부 그래픽 운영 기반 트로이 목마 프로그램이 등장해 사용자 인터페이스가 개선되면서 사용자는 많은 전문 지식 없이도 능숙하게 트로이 목마를 조작할 수 있고, 상대 트로이 목마 침입 사건도 빈번하게 발생하며, 이 시기에 트로이 목마의 기능이 개선되면서 서버측에 대한 피해도 커지고 있다.

그래서 목마가 오늘날까지 발전해 온 것은 이미 무궁무진하다. 일단 목마에 의해 통제되면 너의 컴퓨터는 비밀이 전혀 없을 것이다.

트로이 목마의 엄청난 위험성을 감안하여, 우리는 원칙편, 방어와 반격편, 자료편 3 부로 트로이 목마를 상세히 소개하며, 트로이 목마의 이런 공격 수단에 대한 철저한 이해를 바랍니다.

원칙 편

기본 사항

트로이 목마의 원리를 소개하기 전에 트로이 목마 구성의 기본 사항을 미리 설명해야 합니다. 아래 많은 곳에서 이러한 내용을 언급하기 때문입니다.

완전한 트로이 목마 시스템은 하드웨어 부분, 소프트웨어 부분 및 특정 연결 부분으로 구성됩니다.

(1) 하드웨어 섹션: 트로이 목마 연결을 설정하는 데 필요한 하드웨어 엔터티. 제어측: 서버측에 대한 원격 제어를 하는 쪽입니다. 서버 측: 제어 측에서 원격으로 제어되는 측. 인터넷: 제어측에서 서버측에 대한 원격 제어, 데이터 전송을 위한 네트워크 캐리어.

(2) 소프트웨어 섹션: 원격 제어를 실현하는 데 필요한 소프트웨어 프로그램입니다. 제어측 프로그램: 제어측에서 서버측을 원격으로 제어하는 프로그램입니다. 트로이 목마 프로그램: 서버 내부에 잠입해 운영 권한을 얻는 프로그램. 트로이 목마 구성자: 트로이 목마 프로그램의 포트 번호, 트리거 조건, 트로이 목마 이름 등을 설정하여 서버측에서 더 은밀한 프로그램을 숨기도록 합니다.

(3) 특정 연결 섹션: 인터넷을 통해 서버와 컨트롤 측 사이에 트로이 목마 채널을 만드는 데 필요한 요소. 제어측 IP, 서버측 IP: 제어측, 서버측의 네트워크 주소, 트로이 목마가 데이터를 전송하는 대상입니다. 제어 포트, 트로이 목마 포트: 제어 포트, 서버 측 데이터 입구, 이 입구를 통해 데이터는 제어 측 프로그램 또는 트로이 목마 프로그램에 직접 접근할 수 있습니다.

트로이 목마 원리

트로이 목마 같은 해커 도구를 이용한 네트워크 침입은 과정상 대략 6 단계 (구체적으로 아래 그림 참조) 로 나눌 수 있으며, 이 6 단계에 따라 트로이 목마의 공격 원리를 상세히 설명하겠습니다.

1. 트로이 목마 구성

일반적으로 잘 설계된 트로이 목마에는 트로이 목마 구성 프로그램이 있습니다. 특정 구성 콘텐츠에서 볼 때 주로

(1);

(2) 정보 피드백: 트로이 목마 구성 프로그램은 정보 피드백의 이메일 주소 설정, IRC 번호, ICO 번호 등 정보 피드백 방법 또는 주소를 설정합니다. 자세한 내용은 정보 피드백 섹션에서 자세히 설명합니다.

2. 전파 트로이 목마

(1) 전파 방식:

트로이 목마의 전파 방식 크게 두 가지가 있습니다 다른 하나는 소프트웨어 다운로드입니다. 일부 비공식 웹사이트는 소프트웨어 다운로드를 제공한다는 이름으로 소프트웨어 설치 프로그램에 목마를 묶어 다운로드한 후 이 프로그램만 실행하면 트로이 목마가 자동으로 설치됩니다.

(2) 위장 방식:

(a) 아이콘 수정

e-메일 첨부 파일에서 이 아이콘을 볼 때 텍스트 파일로 간주됩니까? 하지만 이것은 트로이 목마 프로그램일 수도 있고, 현재 트로이 목마 서버 프로그램의 아이콘을 HTML, TXT, ZIP 등 각종 파일의 아이콘으로 바꿀 수 있는 트로이 목마가 있어 상당히 혼란스럽지만, 현재 이런 기능을 제공하는 목마는 아직 드물고, 이런 위장도 흠잡을 데가 없기 때문에 하루 종일 조마조마조마할 필요가 없다.

(2) 번들 파일

이 위장 수단은 트로이 목마를 하나의 설치 프로그램에 묶어 설치 프로그램이 실행 중일 때 사용자가 모르게 시스템에 몰래 들어가는 것이다. 번들로 제공되는 파일은 일반적으로 실행 파일 (예: EXE, COM 과 같은 파일) 입니다.

(3) 오류 표시

특정 트로이 목마 지식을 가진 사람들은 파일을 열면 아무런 반응도 없이 트로이 목마 프로그램일 가능성이 높다는 것을 알고 있다 서비스 측 사용자가 목마 프로그램을 열면 다음 그림과 같은 오류 프롬프트 상자 (물론 거짓) 가 팝업되고 오류 내용은 자유롭게 정의할 수 있으며 대부분 "파일이 손상되어 열 수 없습니다!" 와 같은 사용자 정의될 수 있습니다. 이런 정보, 서비스측 사용자가 진짜라고 믿었을 때 목마는 조용히 시스템에 침입했다.

(4) 맞춤형 포트

(5) 자가 파괴

이 기능은 트로이 목마의 결함을 보완하기 위한 것입니다.

서버 사용자가 트로이 목마가 포함된 파일을 열면 트로이 목마는 자신을 WINDOWS 의 시스템 폴더 (c: \ windows 또는 c: \ windows \ system 디렉토리) 에 복사하는데, 일반적으로 원본 트로이 목마 파일과 시스템 폴더의 트로이 목마 파일 크기는 같습니다 (파일을 묶은 트로이 목마 제외) 트로이 목마의 자기 파괴 기능은 목마를 설치한 후 원목마 파일이 자동으로 파괴되는 것을 의미하며, 이를 통해 서비스측 사용자는 목마의 출처를 찾기가 어렵고, 목마를 조사하는 도구 없이는 목마를 삭제하기가 매우 어렵다는 것을 알 수 있다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 목마, 목마, 목마, 목마, 목마)

(6) 트로이 목마 이름 바꾸기

시스템 폴더에 설치된 트로이 목마의 파일 이름은 일반적으로 고정되어 있으므로, 일부 트로이 목마 문장 검색에 따라 시스템 폴더에서 특정 파일을 찾아 어떤 트로이 목마가 있는지 확인할 수 있습니다. 따라서 현재 제어측 사용자가 설치 후 트로이 목마 파일 이름을 자유롭게 사용자 정의할 수 있는 트로이 목마가 많기 때문에 감염된 트로이 목마 유형을 판단하기가 어렵다.

3. 트로이 목마

서버 사용자가 트로이 목마 또는 번들 목마 프로그램을 실행하면 트로이 목마가 자동으로 설치됩니다. 먼저 자신을 WINDOWS 의 시스템 폴더 (c: \ windows 또는 c: \ windows \ system 디렉토리) 에 복제한 다음 레지스트리, 시작 그룹, 비시작 그룹에 트로이 목마의 트리거 조건을 설정하여 트로이 목마 설치를 완료합니다. 설치 후 트로이 목마를 시작할 수 있습니다. 구체적인 절차는 다음과 같습니다.

(1) 트리거 조건으로 트로이 목마 활성화

트리거 조건은 트로이 목마를 시작하는 조건이며, 대략 8 개 장소에 나타납니다.

1

2.win.ini: c: \ windows 디렉토리에 텍스트로 열리는 구성 파일 win.ini 가 있고 [windows] 필드에 시작 명령 load= 및 RRI 가 있습니다 3. system.ini: c: \ windows 디렉토리에 구성 파일 system.ini 가 있습니다. 텍스트로 열고 [386Enh], [mic], [drivers32] 에 있습니다

4.Autoexec.bat 및 Config.sys: CD 루트 아래에 있는 두 파일 모두 트로이 목마를 시작할 수 있습니다. 그러나 이러한 로드 방식은 일반적으로 제어측 사용자가 서버측과 연결을 설정한 후 트로이 목마 시작 명령이 추가된 동일한 이름의 파일을 서버측에 업로드하여 두 파일을 덮어써야 합니다.

5.*.INI: 응용 프로그램의 시작 구성 파일이며, 제어 측에서 프로그램을 시작할 수 있는 기능을 이용하여 트로이 목마 시작 명령이 있는 동일한 이름의 파일을 서버에 업로드하여 같은 이름의 파일을 덮어씀으로써 트로이 목마를 시작할 수 있습니다.

6. 레지스트리: HKEY _ classes _ root ₩ 파일 유형 ₩ shell ₩ open ₩ command 키를 열고 키 값을 확인합니다.

예를 들어 국산 목마' 빙하' 는 HKEY _ classes _ root \ txtfile \ shell \ open \ command 아래의 키 값을 수정하는 것으로' c: \ windood 또한 TXT 파일뿐 아니라 HTML, EXE, ZIP 등의 파일 시작 명령의 키 값을 수정하여 트로이 목마를 시작할 수 있습니다. 단,' 파일 유형' 이라는 키의 차이만 제외하면 TXT 는 txtfile, ZIP 는 WINZIP 입니다. 한번 찾아보세요.

7. 파일 번들: 이러한 트리거 조건을 달성하기 위해서는 먼저 제어측과 서버측이 트로이 목마를 통해 연결을 설정한 다음, 제어측 사용자가 도구 소프트웨어를 사용하여 트로이 목마 파일을 한 어플리케이션에 묶은 다음 서버측에 업로드하여 원본 파일을 덮어씀으로써 트로이 목마가 삭제되더라도 트로이 목마가 묶인 어플리케이션을 실행하면 트로이 목마가 다시 설치됩니다

8. 시작 메뉴:' 시작-프로그램-시작' 옵션에서도 트로이 목마에 대한 트리거 조건이 있을 수 있습니다.

(2) 트로이 실행 프로세스

트로이 목마가 활성화되면 메모리에 들어가 미리 정의된 트로이 목마 포트를 열어 제어측과의 연결을 준비합니다. 이때 서버 사용자는 MS-DOS 에서 NETSTAT -AN 을 입력하여 포트 상태를 볼 수 있습니다. 일반 PC 는 오프라인 상태에서는 포트가 열리지 않습니다. 포트가 열려 있으면 트로이 목마에 감염되었는지 주의해야 합니다. 다음은 컴퓨터가 트로이 목마에 감염된 후 NETSTAT 명령을 사용하여 포트의 두 가지 인스턴스를 보는 것입니다.

여기서 ① 는 서버측에서 제어측과 연결이 설정되었을 때의 디스플레이 상태입니다. 2 는 서버측과 제어측이 아직 연결되지 않았을 때의 디스플레이 상태입니다.

인터넷을 하는 동안 소프트웨어를 다운로드하고, 편지를 보내고, 인터넷 채팅을 하는 등 일부 포트를 열어야 합니다. 다음은 몇 가지 일반적인 포트입니다.

(1) 1--1024 사이의 포트: 이 포트는 예약된 포트라고 합니다. 소수의 트로이 목마만이 예약된 포트를 트로이 목마 포트로 사용합니다.

(2)1025 이상 연속 포트: 인터넷을 통해 웹 사이트를 방문할 때 브라우저는 여러 개의 연속 포트를 열어 텍스트를 다운로드합니다. 사진은 1025 이상 연속 포트입니다.

(3)4000 포트: OICQ 의 통신 포트입니다.

(4)6667 포트: IRC 의 통신 포트입니다. 위에서 언급한 포트는 기본적으로 제외될 수 있습니다. 다른 포트가 열려 있는 경우, 특히 숫자가 큰 포트가 있다면 트로이 목마에 감염되었는지 의심해야 합니다. 물론 트로이 목마가 맞춤형 포트를 가지고 있다면 어떤 포트라도 트로이 목마 포트가 될 수 있습니다.

4. 정보 유출:

일반적으로 잘 설계된 트로이 목마에는 정보 피드백 메커니즘이 있습니다. 정보 피드백 메커니즘이란 목마가 성공적으로 설치된 후 일부 서버측의 하드웨어 및 소프트웨어 정보를 수집하고 E-메일, IRC 또는 ICO 를 통해 제어측 사용자에게 알리는 것을 말합니다. 다음 그림은 일반적인 정보 피드백 메일입니다.

이 메시지에서는 사용 중인 운영 체제, 시스템 디렉토리, 하드 디스크 파티션 상태, 시스템 암호 등 서버측의 일부 하드웨어 및 소프트웨어 정보를 알 수 있습니다

5. 연결 설정:

이 섹션에서는 트로이 목마 연결이 어떻게 설정되었는지 설명합니다.

트로이 목마 연결 구축은 먼저 두 가지 조건을 충족해야 합니다. 하나는 서버측에 트로이 목마 프로그램이 설치되어 있다는 것입니다. 두 번째는 제어단이고, 서버측은 모두 온라인이어야 한다. 이를 바탕으로 제어단은 트로이 목마 포트를 통해 서비스측과 연결할 수 있다. 설명하기 쉽도록 우리는 그림 형식으로 설명했다.

위 그림에 표시된 A 기계는 제어측, B 머신은 서버측이며, A 기의 경우 B 머신에 연결하려면 B 기의 트로이 목마 포트와 IP 주소를 알아야 합니다. 트로이 목마 포트는 A 머신에 미리 구성되어 있어 알려진 항목이므로 가장 중요한 것은 B 기계의 IP 주소를 얻는 방법입니다. B 기계의 IP 주소를 얻는 방법에는 정보 피드백과 IP 스캔의 두 가지가 있습니다. 이전 섹션에서 이미 소개한 바와 같이, 더 이상 자세히 설명하지 않겠습니다. IP 스캔을 중점적으로 소개하겠습니다. B 기계에는 트로이 목마 프로그램이 설치되어 있기 때문에 트로이 목마 포트 7626 이 열려 있습니다. 이제 A 기계는 IP 주소 세그먼트의 7626 포트 오픈 호스트만 스캔하면 됩니다. 예를 들어, 그림 B 기의 IP 주소는 202.102.47 입니다. A 기계가 이 IP 를 스캔할 때 7626 포트가 열려 있는 것을 발견하면 이 IP 가 목록에 추가됩니다. 이때 A 기계는 트로이 목마의 제어측 프로그램을 통해 B 기계에 연결 신호를 보낼 수 있습니다. B 기의 트로이 목마 프로그램은 신호를 받은 후 즉시 응답하고, A 기계가 응답한 신호를 받으면 즉시 포트 1031 과 B 기의 트로이 목마 포트 7626 을 열어 연결을 설정합니다. 이 때 트로이 목마 연결까지. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 전체 IP 주소 세그먼트를 스캔하는 것은 시간이 많이 걸리는 것 같습니다. 일반적으로 제어단은 먼저 정보 피드백을 통해 서버측의 IP 주소를 얻습니다. 전화 접속 인터넷의 IP 는 동적이기 때문에 사용자가 매번 인터넷에 접속할 때마다 IP 가 다르지만, 이 IP 는 일정 범위 내에서 변합니다. 그림 속 B 기의 IP 는 202.102.47.56 입니다.

6. 원격 제어:

트로이 목마 연결이 설정되면 아래

와 같이 제어 포트와 트로이 목마 포트 사이에 채널이 나타납니다 이제 제어단이 구체적으로 어떤 제어 권한을 가질 수 있는지 살펴보겠습니다. 이것은 당신이 생각하는 것보다 훨씬 큽니다.

(1) 암호 도용: 일반 텍스트로, * 형식이나 캐시에 캐시된 암호는 모두 트로이 목마에 의해 감지될 수 있으며, 많은 트로이 목마는 서버측에서 키보드를 누를 때마다 동작을 기록하는 키 입력 로깅 기능을 제공합니다. 따라서 트로이 목마가 침입하면 비밀번호를 쉽게 훔칠 수 있습니다.

(2) 파일 작업: 제어부는 원격 제어를 통해 서버의 파일을 삭제, 새로 만들기, 수정, 업로드, 다운로드, 실행, 속성 변경 등의 일련의 작업을 수행할 수 있으며 기본적으로 WINDOWS 플랫폼의 모든 파일 작업 기능을 포함합니다.

(3) 레지스트리 수정: 컨트롤 측은 삭제, 키 새로 만들기 또는 수정, 하위 키, 키 값 등 서버측 레지스트리를 임의로 수정할 수 있습니다. 이 기능 제어를 통해 서버 측 플로피 드라이브, 옵티컬 드라이브 사용, 서버 측 레지스트리 잠금, 서버 측 트로이 목마의 트리거 조건을 더욱 은폐된 일련의 고급 작업으로 설정할 수 있습니다.

(4) 시스템 운영: 여기에는 서버 운영 체제 재시작 또는 종료, 서버 네트워크 연결 끊기, 서버 측 마우스 제어, 키보드, 서버 데스크톱 작업 모니터링, 서버 프로세스 보기 등이 포함됩니다

웜은 현재 취약점이나 이메일 등을 통해 빠르게 전파되는 프로그램을 구체적으로 가리키며, 대부분 빠른 전파를 목적으로 철저한 조사를 피하며 웜은 일반적으로 실행 파일에 감염되는 일이 거의 없습니다.

공격자가 시스템에 들어오면 트로이 목마를 놓거나 공격자가 당신을 속여 트로이 목마를 실행합니다. 트로이 목마의 역할은 공격자가 컴퓨터를 더 쉽게 조작할 수 있도록 돕는 것이다. 일반적으로 시스템에 기대해야 하기 때문에 스스로 파일을 파괴하는 경우는 드물다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 목마)

< P > 바이러스, 가장 큰 부류의 것들, 현재의 분류 추세에 따라 바이러스는 목마와 웜을 거의 포괄하며, 사용자에게 해로운 프로그램을 가리키며, 특히 자기전파를 할 수 있는 부분을 가리킨다. 초기에, 일반적인 의미의 바이러스는 파일을 감염시킬 수 있는 파일형 바이러스를 가리킨다.